KR20230009306A - Method and apparatus for detecting malicious communication based session - Google Patents
Method and apparatus for detecting malicious communication based session Download PDFInfo
- Publication number
- KR20230009306A KR20230009306A KR1020220081831A KR20220081831A KR20230009306A KR 20230009306 A KR20230009306 A KR 20230009306A KR 1020220081831 A KR1020220081831 A KR 1020220081831A KR 20220081831 A KR20220081831 A KR 20220081831A KR 20230009306 A KR20230009306 A KR 20230009306A
- Authority
- KR
- South Korea
- Prior art keywords
- communication
- destination
- sum
- session
- source
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims abstract description 183
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000001514 detection method Methods 0.000 claims abstract description 64
- 230000005540 biological transmission Effects 0.000 claims description 30
- 230000011664 signaling Effects 0.000 claims description 27
- 230000002688 persistence Effects 0.000 claims description 26
- 238000012423 maintenance Methods 0.000 claims description 21
- 208000015181 infectious disease Diseases 0.000 claims description 10
- 230000007774 longterm Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 11
- 230000002085 persistent effect Effects 0.000 description 5
- 230000006378 damage Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 개시는 정보보호체계를 우회하는 악성 통신 탐지에 관한 것이다.The present disclosure relates to detection of malicious communication bypassing an information protection system.
명령제어채널을 통한 공격은 수개월에 걸쳐 공격대상 네트워크에 머무르며 정보수집, 공격도구다운로드, 내부망공격, 시스템파괴, 정보유출 등의 행위를 수행한다. 공격대상 네트워크는 대부분 방화벽, 침입탐지장치 등으로 보호되므로, 공격자는 악성코드가 첨부된 메일발송, 인터넷서핑 중 사용자 모르게 악성파일 다운로드, 설치된 프로그램 공급자의 전산자원 공격 등 다양한 방법을 통해 초기침입 경로를 확보할 수 있다.The attack through the command control channel stays on the attack target network for several months and performs activities such as information collection, attack tool download, internal network attack, system destruction, and information leakage. Attack target networks are mostly protected by firewalls and intrusion detection devices, so attackers can find the initial intrusion route through various methods, such as sending mails with malicious codes attached, downloading malicious files without the user's knowledge while surfing the Internet, and attacking the computer resources of installed program providers. can be secured
한편, 지속적으로 명령제어채널을 유지하는 것이 아니라, 공격자에 의해 감염된 내부망 장치가 외부에 위치한 공격자에게 접속을 주기적으로 시도하여 명령제어채널을 생성한다. 감염된 장치는 내부망 보안관리자의 탐지를 피하기 위해, 정규포트를 통한 비정규 프로토콜 통신, 비정규 포트 사용, 외부 클라우드 서비스 사용 등 다양한 방법을 통해 외부에 위치한 공격자와 주기적으로 접속할 수 있다.Meanwhile, instead of continuously maintaining a command control channel, an internal network device infected by an attacker periodically attempts to connect to an external attacker to create a command control channel. In order to avoid detection by the internal network security manager, the infected device can periodically connect to external attackers through various methods such as non-regular protocol communication through regular ports, non-regular ports, and external cloud services.
이러한 내부망 공격을 탐지하기 위해, 주로 패킷의 페이로드를 확인하는 시그니처 기반 탐지가 사용되고 있으나, 네트워크의 통신 속도보다 위협 탐지를 위한 패킷 분석 시간이 오래 걸리는 문제가 있다. 또한, 제로데이(ZeroDay) 및 알려지지 않은 공격의 경우 시그니처에 대한 정보가 식별되지 않아 위협이 탐지할 수 없는 문제가 있다.In order to detect such internal network attacks, signature-based detection that checks the payload of packets is mainly used, but there is a problem in that packet analysis for threat detection takes longer than network communication speed. In addition, in the case of zero-day and unknown attacks, there is a problem that the threat cannot be detected because information about the signature is not identified.
한국등록특허 KR10-1464367는 이를 해결하기 위해, 세션의 생성 빈도를 기초로 명령제어채널을 탐지하는 기술을 제안하고 있으나, 세션 생성 빈도만으로는 최근의 다양한 형태의 악성 통신을 탐지하는 데 한계가 있다.Korean Registered Patent KR10-1464367 proposes a technique for detecting a command control channel based on session creation frequency to solve this problem, but there is a limit to detecting various types of recent malicious communications only with session creation frequency.
본 개시는 세션 기반 악성 통신 탐지 방법 및 장치치를 제공한다.The present disclosure provides a method and apparatus for detecting session-based malicious communication.
본 개시는 세션 데이터 기반으로 지속성, 은닉성, 접근성, 신호성, 방향성 및 확장성을 포함하는 통신 지표들을 추출하고, 이들을 이용하여 악성 통신을 탐지하는 방법 및 장치를 제공한다.The present disclosure provides a method and apparatus for extracting communication indicators including persistence, concealment, accessibility, signaling, directivity, and scalability based on session data and detecting malicious communication using them.
한 실시예에 따른 악성 통신 탐지 장치의 동작 방법으로서, 관리하는 컴퓨팅 장치들과 외부 서버들이 연결된 세션 데이터를 수집하는 단계, 일정 기간마다의 세션 데이터를 동일한 출발지와 목적지끼리 그룹핑하고, 그룹핑된 세션 데이터 그룹마다의 통계 지표값을 계산하는 단계, 각 세션 데이터 그룹의 통계 지표값을 이용하여, 해당 출발지와 목적지에 대한 통신 지표들을 추출하는 단계, 그리고 출발지와 목적지쌍마다의 통신 지표들을 이용하여, 임의 출발지 및 목적지를 악성 통신에 관계된 감염된 컴퓨팅 장치 및 공격자 서버로 탐지하는 단계를 포함한다.A method of operating a malicious communication detection device according to an embodiment, comprising: collecting session data in which managed computing devices and external servers are connected; grouping session data for each period with the same origin and destination; and grouping the grouped session data. Calculating statistical index values for each group, extracting communication indexes for the corresponding source and destination using the statistical index values of each session data group, and using the communication indexes for each pair of source and destination, Detecting the source and destination as the infected computing device and attacker server involved in the malicious communication.
상기 통신 지표들은 지속성, 은닉성, 접근성, 신호성, 방향성, 그리고 확장성 중 적어도 복수를 포함할 수 있다.The communication indicators may include at least a plurality of persistence, concealment, accessibility, signaling, directivity, and scalability.
상기 지속성은 세션이 존재하는 시간 구간 수를 기초로 주기적으로 생성되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중 타임스탬프 개수 및 접속 유지 시간을 기초로 계산될 수 있다.The persistence is a communication index used to detect sessions that are periodically created based on the number of time intervals in which sessions exist, and can be calculated based on the number of timestamps and the connection maintenance time among the statistical index values.
상기 은닉성은 세션 생성 빈도가 낮고 장시간 유지되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중 세션 수를 기초로 계산될 수 있다.The concealment is a communication index used to detect a session that has a low session generation frequency and is maintained for a long time, and may be calculated based on the number of sessions among the statistical index values.
상기 접근성은 최소한의 통신을 수행하여 세션을 유지하는 백도어형 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중, 출발지와 목적지 전송 패킷의 합에 대비되는 접속 유지 시간의 합을 기초로 계산될 수 있다.The accessibility is a communication indicator used to detect a backdoor-type session that maintains a session by performing minimal communication, and is calculated based on the sum of connection maintenance times compared to the sum of source and destination transmission packets among the statistical index values. It can be.
상기 신호성은 최소한의 통신을 수행하여 세션을 유지하는 비콘형 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중, 출발지 및 목적지 전송 패킷의 합에 대비되는 출발지 및 목적지 전송 바이트의 합을 기초로 계산될 수 있다.The signaling is a communication index used to detect a beacon-type session maintaining a session by performing minimal communication, and is based on the sum of source and destination transmission bytes compared to the sum of source and destination transmission packets among the statistical index values. can be calculated as
상기 방향성은 아웃바운드 데이터량을 기반으로 정보 유출에 사용되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중, 출발지 전송 바이트의 합과 목적지 전송 바이트의 합의 차이를 기초로 계산될 수 있다.The directionality is a communication index used to detect a session used for information leakage based on the amount of outbound data, and may be calculated based on a difference between the sum of source transmission bytes and the destination transmission byte sum among the statistical index values. .
상기 확장성은 시간에 따라 특정 목적지에 연결되는 출발지 수의 증가를 기초로 내부망 감염 확산을 탐지하는데 사용되는 통신 지표로서, 목적지마다 연결된 출발지 IP 주소 수를 기초로 계산될 수 있다.The scalability is a communication index used to detect the spread of an internal network infection based on an increase in the number of departure points connected to a specific destination over time, and can be calculated based on the number of source IP addresses connected to each destination.
상기 탐지하는 단계는 임의 출발지 및 목적지에 대한 상기 통신 지표들 중 지속성의 값, 접근성의 값, 그리고 신호성의 값을 기준값들과 비교하여, 상기 악성 통신에 관계된 감염된 컴퓨팅 장치 및 공격자 서버를 탐지할 수 있다.The detecting step may detect an infected computing device and an attacker server related to the malicious communication by comparing persistence values, accessibility values, and signaling values among the communication indicators for an arbitrary source and destination with reference values. there is.
상기 탐지하는 단계는 임의 출발지 및 목적지에 대한 상기 통신 지표들 중 은닉성의 값 및 방향성의 값과 기준값들을 비교하여, 데이터 유출 통신에 관계된 감염된 컴퓨팅 장치 및 공격자 서버를 탐지할 수 있다.In the detecting step, an infected computing device and an attacker server related to data exfiltration communication may be detected by comparing values of confidentiality and directionality with reference values among the communication indices for an arbitrary source and destination.
상기 통계 지표값은 타임스탬프 개수, 접속 유지 시간의 합, 출발지 전송 바이트의 합, 목적지 전송 바이트의 합, 출발지 전송 패킷의 합, 목적지 전송 패킷의 합, 그리고 세션 수를 포함할 수 있다.The statistical indicator value may include the number of timestamps, the sum of connection maintenance times, the sum of source transmitted bytes, the sum of destination transmitted bytes, the sum of source transmitted packets, the sum of destination transmitted packets, and the number of sessions.
다른 실시예에 따른 악성 통신 탐지 장치의 동작 방법으로서, 출발지와 목적지의 세션 데이터를 수집하는 단계, 상기 세션 데이터를 기초로, 타임스탬프 개수, 접속 유지 시간의 합, 출발지 전송 바이트의 합, 목적지 전송 바이트의 합, 출발지 전송 패킷의 합, 목적지 전송 패킷의 합, 그리고 세션 수를 포함하는 통계 지표값을 계산하는 단계, 상기 통계 지표값을 이용하여, 악성 통신 탐지에 사용되는 통신 지표들을 추출하는 단계, 그리고 상기 통신 지표들을 이용하여, 상기 출발지 및 상기 목적지를 감염된 컴퓨팅 장치 및 공격자 서버로 탐지하는 단계를 포함한다.A method of operating a malicious communication detection apparatus according to another embodiment, comprising: collecting session data of a source and a destination; based on the session data, the number of timestamps, the sum of connection maintenance times, the sum of transmission bytes at the source, and transmission to the destination Calculating statistical index values including the sum of bytes, the sum of source transmitted packets, the sum of destination transmitted packets, and the number of sessions; extracting communication indicators used for malicious communication detection using the statistical index values; and detecting the source and the destination as an infected computing device and an attacker server using the communication indicators.
상기 통신 지표들은 지속성, 은닉성, 접근성, 신호성, 방향성, 그리고 확장성 중 적어도 복수를 포함할 수 있다.The communication indicators may include at least a plurality of persistence, concealment, accessibility, signaling, directivity, and scalability.
상기 탐지하는 단계는 상기 통신 지표들 중 지속성의 값, 접근성의 값, 그리고 신호성의 값을 기준값들과 비교하여, 상기 출발지 및 상기 목적지가 악성 통신에 관계된 상기 감염된 컴퓨팅 장치 및 상기 공격자 서버인지 탐지할 수 있다. 상기 지속성은 세션이 존재하는 시간 구간 수를 기초로 주기적으로 생성되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 타임스탬프 개수 및 접속 유지 시간을 기초로 계산될 수 있다. 상기 접근성은 최소한의 통신을 수행하여 세션을 유지하는 백도어형 세션을 탐지하는데 사용되는 통신 지표로서, 상기 출발지 전송 패킷의 합 및 상기 목적지 전송 패킷의 합에 대비되는 상기 접속 유지 시간의 합을 기초로 계산될 수 있다. 상기 신호성은 최소한의 통신을 수행하여 세션을 유지하는 비콘형 세션을 탐지하는데 사용되는 통신 지표로서, 상기 출발지 전송 패킷의 합 및 상기 목적지 전송 패킷의 합에 대비되는 상기 출발지 전송 바이트의 합 및 상기 목적지 전송 바이트의 합을 기초로 계산될 수 있다.The detecting step may detect whether the source and the destination are the infected computing device and the attacker server related to malicious communication by comparing values of persistence, accessibility, and signality among the communication indicators with reference values. can The persistence is a communication index used to detect sessions that are periodically created based on the number of time intervals in which sessions exist, and can be calculated based on the number of timestamps and the connection maintenance time. The accessibility is a communication index used to detect a backdoor-type session maintaining a session by performing minimal communication, and is based on the sum of the connection maintenance time compared to the sum of the source transport packets and the destination transport packets. can be calculated. The signaling is a communication indicator used to detect a beacon-type session maintaining a session by performing minimal communication, and is a sum of the source transmission bytes and the destination compared to the sum of the source transport packets and the destination transport packet. It can be calculated based on the sum of transmitted bytes.
상기 탐지하는 단계는 상기 통신 지표들 중 은닉성의 값 및 방향성의 값과 기준값들을 비교하여, 상기 출발지 및 상기 목적지가 데이터 유출 통신에 관계된 상기 감염된 컴퓨팅 장치 및 상기 공격자 서버인지 탐지할 수 있다. 상기 은닉성은 세션 생성 빈도가 낮고 장시간 유지되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 세션 수를 기초로 계산될 수 있다. 상기 방향성은 아웃바운드 데이터량을 기반으로 정보 유출에 사용되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 출발지 전송 바이트의 합과 상기 목적지 전송 바이트의 합의 차이를 기초로 계산될 수 있다.In the detecting step, it is possible to detect whether the source and the destination are the infected computing device and the attacker server involved in data exfiltration communication by comparing values of confidentiality and directivity among the communication indices and reference values. The secrecy is a communication index used to detect a session that has a low frequency of session creation and is maintained for a long time, and can be calculated based on the number of sessions. The directionality is a communication index used to detect a session used for information leakage based on the amount of outbound data, and may be calculated based on a difference between the sum of source transmission bytes and the destination transmission byte sum.
상기 동작 방법은 시간에 따라 상기 목적지에 연결된 연결되는 출발지 수가 증가하면, 상기 목적지에 의한 내부망 감염 확산을 탐지하는 단계를 더 포함할 수 있다.The operating method may further include detecting spread of an internal network infection by the destination when the number of connected departure points connected to the destination increases over time.
실시예에 따르면 온프레미스(on-Premise) 또는 클라우드의 네트워크에서 세션 기반으로 내부통신(East-West) 및 외부통신(North-South)의 통계적 변화를 분석함으로써, 빠른 시간에 악성 통신의 위협 징후를 탐지 및 대응할 수 있다.According to the embodiment, by analyzing statistical changes in internal communication (East-West) and external communication (North-South) on a session-based basis in an on-premise or cloud network, threat signs of malicious communication can be quickly detected. can detect and respond.
실시예에 따르면 탐지된 악성 통신을 역추적하여 대응함으로써 추가 피해를 최소화할 있다.According to the embodiment, additional damage can be minimized by backtracking and responding to the detected malicious communication.
실시예에 따르면 지속성, 은닉성, 접근성, 신호성, 방향성 및 확장성을 포함하는 통신 지표들을 통해, 제로데이 및 알려지지 않은 위협 징후를 미리 탐지할 수 있다. According to the embodiment, zero-day and unknown threat signs may be detected in advance through communication indicators including persistence, concealment, accessibility, signaling, directivity, and scalability.
실시예에 따르면 수집한 통신 지표들을 이용하여, 통신 지표들 간의 연간 관계로부터 악성 및 정상 행위를 식별하는 인공지능 모델을 훈련시킬 수 있다.According to the embodiment, an artificial intelligence model for identifying malicious and normal behaviors may be trained from the annual relationship between communication indicators using the collected communication indicators.
도 1은 한 실시예에 따른 악성 통신 탐지 장치에 관계된 네트워크 환경을 개략적으로 설명하는 도면이다.
도 2는 한 실시예에 따른 지속성 통신 지표에 관련된 통신 특성을 설명하는 도면이다.
도 3은 한 실시예에 따른 은닉성 통신 지표에 관련된 통신 특성을 설명하는 도면이다.
도 4는 한 실시예에 따른 신호성 통신 지표에 관련된 통신 특성을 설명하는 도면이다.
도 5는 한 실시예에 따른 방향성 통신 지표에 관련된 통신 특성을 설명하는 도면이다.
도 6은 한 실시예에 따른 악성 통신 탐지 방법의 흐름도이다.1 is a diagram schematically illustrating a network environment related to a malicious communication detection apparatus according to an exemplary embodiment.
2 is a diagram illustrating communication characteristics related to a persistent communication index according to an embodiment.
3 is a diagram illustrating communication characteristics related to a confidentiality communication index according to an embodiment.
4 is a diagram illustrating communication characteristics related to signaling communication indicators according to an exemplary embodiment.
5 is a diagram illustrating communication characteristics related to a directional communication index according to an exemplary embodiment.
6 is a flowchart of a malicious communication detection method according to an embodiment.
아래에서는 첨부한 도면을 참고로 하여 본 개시의 실시예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, with reference to the accompanying drawings, embodiments of the present disclosure will be described in detail so that those skilled in the art can easily carry out the present disclosure. However, the present disclosure may be embodied in many different forms and is not limited to the embodiments described herein. And in order to clearly describe the present disclosure in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.
설명에서, 도면 부호 및 이름은 설명의 편의를 위해 붙인 것으로서, 장치들이 반드시 도면 부호나 이름으로 한정되는 것은 아니다.In the description, reference numerals and names are attached for convenience of explanation, and devices are not necessarily limited to reference numerals or names.
설명에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In the description, when a part is said to "include" a certain component, it means that it may further include other components without excluding other components unless otherwise stated. In addition, terms such as “… unit”, “… unit”, and “module” described in the specification mean a unit that processes at least one function or operation, which may be implemented as hardware or software or a combination of hardware and software. there is.
도 1은 한 실시예에 따른 악성 통신 탐지 장치에 관계된 네트워크 환경을 개략적으로 설명하는 도면이고, 도 2는 한 실시예에 따른 지속성 통신 지표에 관련된 통신 특성을 설명하는 도면이고, 도 3은 한 실시예에 따른 은닉성 통신 지표에 관련된 통신 특성을 설명하는 도면이고, 도 4는 한 실시예에 따른 신호성 통신 지표에 관련된 통신 특성을 설명하는 도면이며, 도 5는 한 실시예에 따른 방향성 통신 지표에 관련된 통신 특성을 설명하는 도면이다.1 is a diagram schematically illustrating a network environment related to a malicious communication detection apparatus according to an embodiment, FIG. 2 is a diagram illustrating communication characteristics related to a persistent communication indicator according to an embodiment, and FIG. 3 is a diagram illustrating one embodiment A diagram illustrating communication characteristics related to a confidentiality communication indicator according to an example, FIG. 4 is a diagram illustrating communication characteristics related to a signaling communication indicator according to an embodiment, and FIG. 5 is a directional communication indicator according to an embodiment It is a diagram explaining communication characteristics related to .
도 1을 참고하면, 악성 통신 탐지 장치(간단히, 탐지 장치라고 함)(100)는 온프레미스(on-Premise) 또는 클라우드의 네트워크에서 생성된 세션들을 기초로 내부통신(East-West) 및 외부통신(North-South)의 통계적 변화를 나타내는 통신 지표들을 분석하고, 통신 지표들을 이용하여 악성 통신을 탐지한다. Referring to FIG. 1, a malicious communication detection device (simply referred to as a detection device) 100 performs internal communication (East-West) and external communication based on sessions created in an on-premise or cloud network. (North-South) communication indicators representing statistical changes are analyzed, and malicious communication is detected using the communication indicators.
탐지 장치(100)는 온프레미스 또는 클라우드에 구축된 컴퓨팅 장치들(200-1, 200-2, 200-3, …)이 외부 서버들(300, 400)과 연결된 세션 데이터를 수집한다. 여기서 세션은 두 통신 장치 사이의 데이터 교환을 위해 생성된 연결(connection)을 의미한다. 세션 데이터는 타임스탬프, 출발지 정보, 목적지 정보, 접속 유지 시간, 송수신 데이터 크기 등을 포함할 수 있다. 출발지 정보는 출발지 IP 주소, 출발지 포트 등을 포함한다. 목적지 정보는 목적지 IP 주소, 목적지 포트 등을 포함한다. 송수신 데이터 크기는 출발지가 전송한 바이트 수/목적지가 전송한 바이트 수, 또는 출발지가 전송한 패킷 수/목적지가 전송한 패킷 수 등을 포함할 수 있다. 세션 데이터는 출발지 및 목적지를 기준으로 성사된 연결 과정 중에 발생되는 네트워크 패킷들을 조합하여 획득될 수 있다. The
세션 데이터는 표 1과 같이, 네트워크 패킷으로부터 획득한 항목들을 포함할 수 있다.As shown in Table 1, session data may include items obtained from network packets.
탐지 장치(100)는 세션 데이터를 일정 기간 집계하고, 동일한 출발지와 목적지를 가지는 세션 데이터를 하나의 세션 데이터 그룹으로 그룹핑한 후, 출발지와 목적지로 식별되는 세션 데이터 그룹별로 통계 지표값을 계산한다. 탐지 장치(100)는 세션 데이터 중에서 동일한 출발지와 목적지를 가지는 세션들을 식별하고, 표 2와 같이, 출발지와 목적지의 세션 데이터 그룹별 통계 지표값을 계산할 수 있다. 통계 지표는 타임스탬프 개수, 접속 유지 시간의 합, 출발지 전송 바이트의 합, 목적지 전송 바이트의 합, 출발지 전송 패킷의 합, 목적지 전송 패킷의 합, 그리고 세션 수를 포함할 수 있다. 탐지 장치(100)는 출발지 IP 주소, 그리고 목적지 IP 주소 및 목적지 포트를 이용하여, 동일한 출발지와 목적지를 가지는 세션 데이터를 동일한 연결의 분석 데이터로 그룹핑할 수 있다.The
(ts_unique)Timestamp (ts) count
(ts_unique)
(dst_bytes_sum)Sum of Destination Transmitted Bytes
(dst_bytes_sum)
(dst_pkts_sum)Sum of destination transmitted packets
(dst_pkts_sum)
탐지 장치(100)는 출발지와 목적지의 세션 데이터 그룹별 통계 지표값을 이용하여, 각 세션 데이터 그룹의 지속성, 은닉성, 접근성, 신호성, 방향성 및 확장성을 포함하는 통신 지표들을 추출한다. 탐지 장치(100)는 통신 지표들을 이용하여 해당 세션 데이터 그룹의 출발지 및 목적지가 악성 통신을 수행하는지 판단하고, 이를 통해 악성 통신에 관련된 감염된 컴퓨팅 장치와 공격자 서버를 탐지할 수 있다. 악성 통신은 표적 공격, BotNet, UnKnown Malware, 내부자 위협, 데이터 유출 등의 부정한 목적으로 연결된 세션을 의미한다. 지속성, 은닉성, 접근성, 신호성, 방향성 및 확장성을 포함하는 통신 지표들은 표 3과 같이 정의될 수 있다.The
컴퓨팅 장치들(200-1, 200-2, 200-3, …) 중에서 악성 통신에 관련된 컴퓨팅 장치(200-1)를 감염된 컴퓨팅 장치라고 부를 수 있다. 외부 서버들(300, 400) 중에서 악성 통신에 관련된 서버(300)를 공격자 서버라고 부르고, 공격자 서버는 명령제어(Command & Control, C&C) 서버라고도 부를 수 있다.컴퓨팅 장치들(200-1, 200-2, 200-3, …)은 방화벽, 침입탐지장치 등의 정보보호시스템에 의해 보호된다고 가정한다. 그러면, 외부에 존재하는 공격자는 정보보호시스템에 의해 보호되는 내부망에 접근하기 위해 내부 장치와 주기적으로 연결하는 명령제어채널을 생성해야 한다. 이를 위해, 공격자는 컴퓨팅 장치들(200-1, 200-2, 200-3, …) 중에서, 어느 컴퓨팅 장치(200-1)를 악성코드가 첨부된 메일이나 프로그램을 통해 감염시킬 수 있다. 감염된 컴퓨팅 장치(200-1)는 공격자 서버(300)와 주기적으로 접속하여 명령을 수신하고, 명령에 따른 동작을 수행하게 된다. 탐지 장치(100)는 각 세션 데이터 그룹의 세션 데이터를 이용하여 분석한 통신 지표들을 기초로 명령제어채널의 특성을 찾아낼 수 있다. Among the computing devices 200-1, 200-2, 200-3, ..., the computing device 200-1 involved in malicious communication may be referred to as an infected computing device. Among the
탐지 장치(100)가 지속성, 은닉성, 접근성, 신호성, 방향성 및 확장성의 통신 지표들을 계산하는 방법에 대해 자세히 설명한다.A method for the
먼저 지속성 통신 지표에 대해 설명한다. 지속성은 상태 전송 또는 명령 확인을 위해 주기적으로 생성되는 세션을 탐지하기 위한 통신 지표이다.First, the persistent communication index is explained. Persistence is a communication metric for detecting sessions that are created periodically for status transmission or command acknowledgment.
도 2를 참고하면, 감염된 컴퓨팅 장치(200-1)는 공격자 서버(300)로부터 명령을 수신하기 전까지, 주기적으로 공격자 서버(300)에 접속하여 자신의 상태를 전송하거나, 명령을 확인한다. 감염된 컴퓨팅 장치(200-1)와 공격자 서버(300) 사이의 지속적이고 기계적인 네트워크 통신을 파악하기 위해, 탐지 장치(100)는 각 세션 데이터 그룹의 세션 데이터를 이용하여, 해당 출발지와 목적지의 연결에 대한 지속성을 나타내는 통신 지표를 계산할 수 있다.Referring to FIG. 2 , the infected computing device 200-1 periodically accesses the
탐지 장치(100)는 동일한 출발지와 목적지로 그룹핑된 일정 기간(예를 들면, 24시간 또는 12시간)의 세션 데이터에서, 타임스탬프 및 접속 유지 시간(duration)을 기초로, 세션이 존재하는 시간 구간 수(간단히, 세션 시간 구간 수 또는 BIN이록 함)를 계산하고, 이를 지속성 통신 지표로 사용할 수 있다. 탐지 장치(100)는 표 2의 통계 지표값 중 타임스탬프 개수(ts_unique) 및 접속 유지 시간(duration)를 이용하여, 세션 시간 구간 수를 계산할 수 있다. 시간 구간이 공격자의 접속 주기보다 짧으면, 공격자가 주기적으로 공격하고 있음에도 불구하고, 명령제어채널이 어느 시간 구간에 생성되지 않을 수 있다. 따라서, 주기적으로 생성되는 명령제어채널을 탐지할 수 있도록 시간 구간이 설정되는데, 예를 들면, 시간 구간은 명령제어채널의 접속 주기보다 충분히 긴 시간, 예를 들면 1시간, 30분 등으로 설정될 수 있다. 설명에서는 시간 구간은 1시간 단위로 설정된다고 가정한다. The
탐지 장치(100)는 시간 구간 동안 한번이라도 세션이 생성되면 생성으로 판단하고, 일정 기간 동안 세션이 생성된 시간 구간 수를 누적할 수 있다. 세션 연결을 위해 최초 생성되는 패킷의 타임스탬프를 기초로, 각 시간 구간에서 세션이 생성되는지 확인할 수 있으므로, 탐지 장치(100)는 타임스탬프 개수(ts_unique)를 이용하여 세션 시간 구간 수(BIN)를 계산할 수 있다. 예를 들면, 감염된 컴퓨팅 장치(200-1)와 공격자 서버(300) 간의 12시간 동안의 세션 데이터에서, 타임스탬프 개수(ts_unique)가 12이면, 세션 시간 구간 수(BIN)는 12이고, 이를 지속성 값으로 사용할 수 있다. The
한편, 접속 유지 시간(duration)이 시간 구간(1시간) 이상인 세션이 존재할 수 있는데, 타임스탬프는 세션 발생 시각이므로, 타임스탬프 개수(ts_unique)만으로 세션이 존재하는 시간 구간 수(BIN)가 정확히 계산되지 않을 수 있다. 따라서, 탐지 장치(100)는 수학식 1과 같이, 각 세션의 접속 유지 시간을 시간 구간으로 나눈 몫을 오프셋(offset)으로 계산하고, 오프셋을 타임스탬프 개수(ts_unique)에 더해, 접속 유지 시간이 시간 구간보다 긴 세션이 존재하는 시간 구간 수를 보정할 수 있다. 예를 들어, 컴퓨팅 장치(200-2)와 일반 외부 서버(400) 간의 12시간 동안의 세션 데이터에서, 3개의 세션이 생성되고, 접속 유지 시간(duration)이 1시간 이상인 세션이 2개 존재하는 경우, 접속 유지 시간이 1시간 이상인 두 세션에 의해 오프셋은 2가 된다. 따라서, 컴퓨팅 장치(200-2)와 일반 외부 서버(400)의 연결에서, 세션이 존재한 시간 구간 수(BIN)는 5로 계산될 수 있다. On the other hand, there may be sessions with a duration of more than a time interval (1 hour). Since the timestamp is the session occurrence time, the number of time intervals (BIN) in which sessions exist is accurately calculated only by the number of timestamps (ts_unique). It may not be. Therefore, as shown in Equation 1, the
[수학식 1][Equation 1]
지속성 값=세션 시간 구간 수(BIN)= 타임스탬프 개수(ts_unique)+오프셋Persistence value = number of session time intervals (BIN) = number of timestamps (ts_unique) + offset
이와 같이, 탐지 장치(100)는 세션 시간 구간 수(BIN)를 이용하여, 출발지와 목적지의 지속성 통신 지표를 계산할 수 있다. 지속성 값이 전체 시간 구간 수에 가까울수록 지속적이고 빈번한 연결이므로, 해당 연결의 출발지 및 목적지가 감염된 컴퓨팅 장치 및 공격자 서버로 추정될 수 있다.In this way, the
다음에서 은닉성 통신 지표에 대해 설명한다. 은닉성은 터널링 등을 통해 장시간 유지되는 명령 수행 세션을 탐지하기 위한 통신 지표이다. In the following, the confidentiality communication index is explained. Concealment is a communication indicator for detecting a command execution session maintained for a long time through tunneling or the like.
도 3을 참고하면, 감염된 컴퓨팅 장치(200-1)는 RAT 프로그램 등의 터널링을 통해 공격자 서버(300)와 연결되고, 공격자의 명령에 따른 동작을 수행하게 된다. 그러면, 감염된 컴퓨팅 장치(200-1)는 명령된 동작을 수행하는 동안 연결된 세션을 지속적으로 유지한다. 따라서, 정상 서버와 클라이언트에서 발생되는 세션의 수와 비교하면, 감염된 컴퓨팅 장치(200-1)가 공격자 서버(300)는 상대적으로 세션 생성 빈도가 낮다. 감염된 컴퓨팅 장치(200-1)가 공격자 서버(300)의 명령을 수행하는 행동을 파악하기 위해, 탐지 장치(100)는 각 세션 데이터 그룹의 세션 데이터를 이용하여, 해당 출발지와 목적지의 연결에 대한 은닉성을 나타내는 통신 지표를 계산할 수 있다.Referring to FIG. 3 , the infected computing device 200-1 is connected to the
탐지 장치(100)는 동일한 출발지와 목적지로 그룹핑된 일정 기간의 세션 데이터에서, 세션 시간 구간 수(BIN) 대비 생성된 세션 수를 은닉성 통신 지표로 사용할 수 있다. 은닉성 값은 예를 들면 수학식 2와 같이, 세션 수를 세션 시간 구간 수(BIN)로 나눈 값으로 계산될 수 있고, 시간 구간 수의 가중치를 주기 위해 시간 구간 수를 제곱할 수 있다. 세션 수는 표 2의 통계 지표값 중 count가 사용될 수 있다.The
[수학식 2][Equation 2]
은닉성 값=세션 수/BINConfidentiality value = number of sessions/BIN
이와 같이, 탐지 장치(100)는 세션 시간 구간 수(BIN) 대비 생성된 세션 수를 이용하여, 출발지와 목적지의 은닉성 통신 지표를 계산할 수 있다. 은닉성 값이 기준값보다 작으면 컴퓨팅 장치가 공격자의 명령에 따른 동작을 수행 중인 것으로 추정할 수 있다. In this way, the
다음에서 접근성 통신 지표에 대해 설명한다. 접근성은 상태 추적(Stateful Inspection) 기반 등의 정보보호시스템을 우회하기 위해 최소한의 통신을 수행하여 세션을 유지하는 백도어형 세션을 탐지하기 위한 통신 지표이다. In the following, accessibility communication indicators are described. Accessibility is a communication indicator for detecting a backdoor type session that maintains a session by performing minimal communication to bypass information protection systems such as stateful inspection.
상태 추적 기반 정보보호시스템은 클라이언트와 서버 간의 통신 상태를 모니터링하여 연결 테이블을 만들고 관리하면서, 세밀한 트래픽의 제어를 수행한다. 공격자 서버(300)가 이를 우회하여 감염된 컴퓨팅 장치(200-1)에 접속하기 위해 백도어형 세션이 사용될 수 있다. 감염된 컴퓨팅 장치(200-1)는 공격자 서버(300)와의 세션을 수립한 뒤, 정보보호시스템이 세션을 차단하지 못하도록 백도어형 세션을 사용하여 해당 세션을 지속적으로 유지하기 위한 최소한의 통신을 수행한다. 여기서, 감염된 컴퓨팅 장치(200-1)가 공격자 서버(300)와의 터널링 등을 통해, 역방향 접속을 위한 링크를 형성하는 것을 백도어형 세션이라고 부른다.A state tracking based information protection system monitors the communication state between a client and a server, creates and manages a connection table, and controls detailed traffic. A backdoor-type session may be used so that the
탐지 장치(100)는 동일한 출발지와 목적지로 그룹핑된 일정 기간의 세션 데이터에서, 패킷 수 대비 접속 유지 시간을 접근성 통신 지표로 사용할 수 있다. 탐지 장치(100)는 장시간 동안 세션이 연결되었으나 전송되는 패킷 수가 적은 연결이라면, 백도어형 세션으로 정보보호체계를 우회하는 감염된 컴퓨팅 장치(200-1)와 공격자 서버(300)로 추정할 수 있다.The
탐지 장치(100)는 수학식 3과 같이, 접속 유지 시간의 합(duration_sum)을, 출발지 전송 패킷의 합(src_pkts_sum) 및 목적지 전송 패킷의 합(dst_pkts_sum)으로 나눈 값을 접근성 통신 지표로 사용할 수 있다. 수학식 3에서 분모에 접속 유지 시간의 합(duration_sum)을 추가항, 접근성 값을 정규화할 수도 있다.As shown in
[수학식 3][Equation 3]
접근성 값= duration_sum/(duration_sum + src_pkts_sum+ dst_pkts_sum)accessibility value = duration_sum/(duration_sum + src_pkts_sum+ dst_pkts_sum)
이와 같이, 탐지 장치(100)는 접속 유지 시간의 합(duration_sum), 출발지 전송 패킷의 합(src_pkts_sum) 및 목적지 전송 패킷의 합(dst_pkts_sum)을 이용하여, 출발지와 목적지의 접근성 통신 지표를 계산할 수 있다. 수학식 3으로 계산된 접근성 값이 기준값(예를 들면, 1)에 가까우면, 전송 패킷 수가 적다는 것이므로, 출발지와 목적지는 정보보호시스템을 우회하기 위해 최소한의 통신을 수행하여 세션을 유지하는 상태라고 추정할 수 있다. In this way, the
다음에서 신호성 통신 지표에 대해 설명한다. 신호성은 정보보호체계를 우회하여 명령제어채널을 생성하기 위한 비콘형 세션을 탐지하기 위한 통신 지표이다. 여기서, 비콘형 세션은 소량 데이터를 전송하는 세션을 의미한다.In the following, signaling communication indicators are described. Signalability is a communication indicator for detecting a beacon type session to bypass the information protection system and create a command control channel. Here, the beacon type session means a session that transmits a small amount of data.
도 4를 참고하면, 정상 서버와 클라이언트는 데이터를 전송하기 위해 세션을 생성하기 때문에, 정해진 형식에 따라 패킷에 데이터를 최대한 포함하여 전송한다. 반면, 감염된 컴퓨팅 장치(200-1)와 공격자 서버(300)는 세션을 유지하기 위해, 패킷에 소량의 데이터를 포함하여 전송한다. Referring to FIG. 4 , since a normal server and a client create a session to transmit data, data is included in a packet as much as possible and transmitted according to a predetermined format. On the other hand, the infected computing device 200-1 and the
탐지 장치(100)는 동일한 출발지와 목적지로 그룹핑된 일정 기간의 세션 데이터에서, 전송 패킷 수 대비 전송 데이터량을 신호성 통신 지표로 사용할 수 있다. 탐지 장치(100)는 신호성 통신 지표를 통해, 세션을 유지하기 위해 최소한의 데이터로 통신을 수행하는 세션을 파악할 수 있다. The
탐지 장치(100)는 수학식 4와 같이, 출발지 및 목적지 전송 바이트의 합(src_bytes_sum+dst_bytes_sum)을 출발지 및 목적지 전송 패킷의 합(src_pkts_sum+dst_pkts_sum)으로 나눈 값을 신호성 통신 지표로 사용할 수 있다. MTU에 의해 한 패킷의 최대 크기는 1500바이트이므로, 수학식 4에서 1500으로 나누어 신호성 값을 정규화할 수도 있다.As shown in Equation 4, the
[수학식 4][Equation 4]
신호성 값= (src_bytes_sum+dst_bytes_sum)/(src_pkts_sum+dst_pkts_sum)Signaling value = (src_bytes_sum+dst_bytes_sum)/(src_pkts_sum+dst_pkts_sum)
이와 같이, 탐지 장치(100)는 패킷 수에 대비 전송되는 데이터량을 이용하여, 출발지와 목적지의 신호성 통신 지표를 계산할 수 있다. 신호성 값이 기준값(0에 가까운 값)보다 작으면, 출발지와 목적지는 정보보호시스템을 우회하기 위해 최소한의 통신을 수행하여 세션을 유지하는 상태라고 추정할 수 있다. In this way, the
다음에서 방향성 통신 지표에 대해 설명한다. 방향성은 세션을 통해 전송되는 인바운드/아웃바운드 데이터량을 기반으로 데이터 흐름의 방향성을 확인하여 정보 유출의 징후를 탐지하는 통신 지표이다. In the following, the directional communication indicators are explained. Directionality is a communication indicator that detects signs of information leakage by checking the directionality of data flow based on the amount of inbound/outbound data transmitted through the session.
도 5를 참고하면, 정상 서버와 클라이언트 사이의 데이터 흐름은 클라이언트에서 서버에 요청하는 행위가 많기 때문에, 아웃바운드 데이터량보다 인바운드 데이터량이 많다. 반면, 감염된 컴퓨팅 장치(200-1)는 공격자 서버(300)로 내부 데이터를 전송하기 위해 동작하므로, 감염된 컴퓨팅 장치(200-1)에서 데이터 유출 행위가 발생된다면 아웃바운드 데이터량이 늘어나서, 데이터 흐름의 방향성이 아웃바운드로 역전되는 특성이 발생한다.Referring to FIG. 5 , since a data flow between a normal server and a client involves many requests from a client to a server, the amount of inbound data is greater than the amount of outbound data. On the other hand, since the infected computing device 200-1 operates to transmit internal data to the
탐지 장치(100)는 인바운드와 아웃바운드의 데이터 전송량을 기반으로 데이터 흐름의 방향을 측정한다. 탐지 장치(100)는 동일한 출발지와 목적지로 그룹핑된 일정 기간의 세션 데이터에서, 출발지 전송 바이트의 합(src_bytes_sum)과 목적지 전송 바이트의 합(dst_bytes_sum)을 이용하여 방향성 통신 지표를 계산할 수 있다. 탐지 장치(100)는 수학식 5와 같이, 출발지 전송 바이트의 합(src_bytes_sum)과 목적지 전송 바이트의 합(dst_bytes_sum)의 차이를, 전체 전송 바이트의 합으로 나눈 값을 방향성 통신 지표로 사용할 수 있다.The
[수학식 5][Equation 5]
방향성 값= (src_bytes_sum-dst_bytes_sum)/(src_bytes_sum+dst_bytes_sum)Direction value = (src_bytes_sum-dst_bytes_sum)/(src_bytes_sum+dst_bytes_sum)
이와 같이, 탐지 장치(100)는 출발지 전송(아웃바운드) 데이터량이 목적지 전송(인바운드) 데이터량보다 많으면, 정상 서버의 목적과는 다르게 발생되는 데이터 흐름으로 판단하고, 데이터 유출 행위가 의심되는 연결로 추정할 수 있다. In this way, if the amount of source transmission (outbound) data is greater than the destination transmission (inbound) data amount, the
다음에서 확장성 통신 지표에 대해 설명한다. 확장성은 내부망에 다발적인 영향을 유발할 수 있는 잠재된 위협을 지닌 서버를 탐지하기 위한 통신 지표이다. In the following, scalable communication metrics are explained. Scalability is a communication index to detect servers with potential threats that can cause multiple effects on the internal network.
악성 코드 등에 감염된 컴퓨팅 장치(200-1)는 공격자 서버(300)에 연결되고, 내부망에 추가적인 감염을 시도하여 감염 규모가 확장된다. 이러한, 내부망 감염 확산으로 인해 특정 목적지로 연결되는 세션 수가 늘어나게 된다.The computing device 200-1 infected with malicious code is connected to the attacker's
탐지 장치(100)는 세션 데이터에서, 목적지 IP 주소 및 포트로 특정되는 목적지마다, 연결된 출발지 IP 주소 수를 집계하고, 출발지 IP 주소 수를 확장성 통신 지표로 계산할 수 있다. 시간에 따라 특정 목적지의 확장성 값이 증가하면, 내부망 감염 확산으로 탐지될 수 있다.The
이와 같이, 탐지 장치(100)는 확장성 값을 이용하여 내부 컴퓨팅 장치들이 연결된 서버를 식별하고, 식별된 서버를 내부망에 다발적인 영향을 유발할 수 있는 서버로 추정할 수 있으며, 내부 컴퓨팅 장치들의 감염 확산 정도를 파악할 수 있다.In this way, the
예를 들어, 탐지 장치(100)가 날짜별로 출발지와 목적지로 그룹핑된 세션 데이터 그룹을 사용하여, 표 4와 같이, 출발지와 목적지쌍에 대한 통신 지표들을 계산할 수 있다. For example, the
(BIN)persistence
(BIN)
출발지a-목적지A, 그리고 출발지b-목적지B의 지속성 값(BIN)이 일정 수준 이상이고, 신호성 값이 0에 가깝고, 접근성 값이 1에 가까우며, 은닉성 값이 0에 가깝기 때문에, 탐지 장치(100)는 이들을 세션 유지 목적으로 최소한의 통신을 하는 감염된 컴퓨팅 장치와 공격자 서버로 추정할 수 있다. 출발지c-목적지C의 지속성 값이 전체 시간 구간 수에 가깝고, 신호성 값이 0에 가깝기 때문에, 탐지 장치(100)는 감염된 출발지c가 목적지C로부터 명령을 수신하기 전까지, 주기적으로 목적지C에 접속하여 자신의 상태를 전송하거나, 명령을 확인하는 것으로 추정할 수 있다. Since the persistence value (BIN) of source a-destination A and source b-destination B is above a certain level, the signality value is close to 0, the accessibility value is close to 1, and the concealment value is close to 0, the detection device In (100), they can be assumed to be the infected computing device and the attacker server that have minimal communication for the purpose of maintaining a session. Since the persistence value of source c-destination C is close to the total number of time intervals and the signaling value is close to 0, the
도 6은 한 실시예에 따른 악성 통신 탐지 방법의 흐름도이다.6 is a flowchart of a malicious communication detection method according to an embodiment.
도 6을 참고하면, 탐지 장치(100)는 컴퓨팅 장치들과 외부 서버들이 연결된 세션 데이터를 수집한다(S110).Referring to FIG. 6 , the
탐지 장치(100)는 일정 기간(예를 들면, 하루)마다의 세션 데이터를 동일한 출발지와 목적지끼리 그룹핑하고, 그룹핑된 세션 데이터 그룹마다의 통계 지표값을 계산한다(S120). 탐지 장치(100)는 일정 기간의 세션 데이터를 동일한 출발지와 목적지의 세션 데이터로 그룹핑할 수 있다. 탐지 장치(100)는 출발지 IP 주소, 그리고 목적지 IP 주소 및 목적지 포트를 이용하여, 전체 세션 데이터를 동일한 출발지와 목적지를 가지는 각 연결의 분석 데이터로 그룹핑할 수 있다. 탐지 장치(100)는 각 연결의 분석 데이터에서 타임스탬프 개수, 접속 유지 시간의 합, 출발지 전송 바이트의 합, 목적지 전송 바이트의 합, 출발지 전송 패킷의 합, 목적지 전송 패킷의 합, 그리고 세션 수를 포함하는 통계 지표값을 계산할 수 있다. The
탐지 장치(100)는 각 세션 데이터 그룹의 통계 지표값을 이용하여, 해당 출발지와 목적지에 대한 통신 지표들을 추출한다(S130). 통신 지표들은 지속성, 은닉성, 접근성, 신호성, 방향성 및 확장성을 포함할 수 있다. 여기서, 확장성은 목적지를 기준을, 이에 연결된 출발지 수로 계산될 수 있다.The
탐지 장치(100)는 출발지와 목적지쌍마다의 통신 지표들을 이용하여, 임의 출발지 및 목적지를 악성 통신에 관계된 감염된 컴퓨팅 장치 및 공격자 서버로 탐지한다(S140). 탐지 장치(100)는 시간에 따른 통신 지표의 변화 패턴을 보고, 임의 출발지 및 목적지가 악성 통신에 관계된 감염된 컴퓨팅 장치 및 공격자 서버인지 탐지할 수 있다. 탐지 장치(100)는 통신 지표들을 이용하여 악성 통신의 종류를 탐지할 수 있다. 탐지 장치(100)는 통신 지표들 중 악성 통신의 뚜렷한 특징을 가지는 하나의 통신 지표를 이용하여 악성 통신을 탐지할 수 있고, 복수의 통신 지표들을 종합해서 악성 통신을 탐지할 수 있다. 이를 통해, 탐지 장치(100)는 공격자 서버가 정보보호시스템을 우회하기 위해, 내부망의 컴퓨팅 장치를 감염시키고, 감염된 컴퓨팅 장치가 공격자 서버와 세션 연결한 것인지 탐지할 수 있다.The
이와 같이, 실시예에 따르면 온프레미스(on-Premise) 또는 클라우드의 네트워크에서 세션 기반으로 내부통신(East-West) 및 외부통신(North-South)의 통계적 변화를 분석함으로써, 빠른 시간에 악성 통신의 위협 징후를 탐지 및 대응할 수 있다.In this way, according to the embodiment, by analyzing statistical changes in internal communication (East-West) and external communication (North-South) on a session basis in an on-premise or cloud network, malicious communication can be detected in a short time. Detect and respond to threat signs.
실시예에 따르면 탐지된 악성 통신을 역추적하여 대응함으로써 추가 피해를 최소화할 있다.According to the embodiment, additional damage can be minimized by backtracking and responding to the detected malicious communication.
실시예에 따르면 지속성, 은닉성, 접근성, 신호성, 방향성 및 확장성을 포함하는 통신 지표들을 통해, 제로데이 및 알려지지 않은 위협 징후를 미리 탐지할 수 있다. According to the embodiment, zero-day and unknown threat signs may be detected in advance through communication indicators including persistence, concealment, accessibility, signaling, directivity, and scalability.
실시예에 따르면 수집한 통신 지표들을 이용하여, 통신 지표들 간의 연간 관계로부터 악성 및 정상 행위를 식별하는 인공지능 모델을 훈련시킬 수 있다.According to the embodiment, an artificial intelligence model for identifying malicious and normal behaviors may be trained from the annual relationship between communication indicators using the collected communication indicators.
이상에서 설명한 본 개시의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 개시의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.The embodiments of the present disclosure described above are not implemented only through devices and methods, and may be implemented through a program that realizes functions corresponding to the configuration of the embodiments of the present disclosure or a recording medium on which the program is recorded.
이상에서 본 개시의 실시예에 대하여 상세하게 설명하였지만 본 개시의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 개시의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 개시의 권리범위에 속하는 것이다.Although the embodiments of the present disclosure have been described in detail above, the scope of the present disclosure is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present disclosure defined in the following claims are also included in the present disclosure. that fall within the scope of the right.
Claims (15)
관리하는 컴퓨팅 장치들과 외부 서버들이 연결된 세션 데이터를 수집하는 단계,
일정 기간마다의 세션 데이터를 동일한 출발지와 목적지끼리 그룹핑하고, 그룹핑된 세션 데이터 그룹마다의 통계 지표값을 계산하는 단계,
각 세션 데이터 그룹의 통계 지표값을 이용하여, 해당 출발지와 목적지에 대한 통신 지표들을 추출하는 단계, 그리고
출발지와 목적지쌍마다의 통신 지표들을 이용하여, 임의 출발지 및 목적지를 악성 통신에 관계된 감염된 컴퓨팅 장치 및 공격자 서버로 탐지하는 단계
를 포함하는 동작 방법.As a method of operating a malicious communication detection device,
Collecting session data in which managed computing devices and external servers are connected;
Grouping session data for each period with the same origin and destination, and calculating a statistical index value for each grouped session data group;
Extracting communication indicators for the corresponding source and destination using statistical indicator values of each session data group; and
Detecting an arbitrary source and destination as an infected computing device and an attacker server involved in malicious communication using communication indicators for each source and destination pair.
Operation method including.
상기 통신 지표들은 지속성, 은닉성, 접근성, 신호성, 방향성, 그리고 확장성 중 적어도 복수를 포함하는, 동작 방법.In paragraph 1,
wherein the communication indicators include at least a plurality of persistence, concealment, accessibility, signaling, directivity, and extensibility.
상기 지속성은 세션이 존재하는 시간 구간 수를 기초로 주기적으로 생성되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중 타임스탬프 개수 및 접속 유지 시간을 기초로 계산되는, 동작 방법.In paragraph 2,
The persistence is a communication index used to detect a session that is periodically created based on the number of time intervals in which sessions exist, and is calculated based on the number of timestamps and the connection maintenance time among the statistical index values.
상기 은닉성은 세션 생성 빈도가 낮고 장시간 유지되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중 세션 수를 기초로 계산되는, 동작 방법.In paragraph 2,
The concealment is a communication index used to detect a session with a low frequency of session creation and a long-term session, and is calculated based on the number of sessions among the statistical index values.
상기 접근성은 최소한의 통신을 수행하여 세션을 유지하는 백도어형 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중, 출발지와 목적지 전송 패킷의 합에 대비되는 접속 유지 시간의 합을 기초로 계산되는, 동작 방법.In paragraph 2,
The accessibility is a communication indicator used to detect a backdoor-type session that maintains a session by performing minimal communication, and is calculated based on the sum of connection maintenance times compared to the sum of source and destination transmission packets among the statistical index values. to be, how it works.
상기 신호성은 최소한의 통신을 수행하여 세션을 유지하는 비콘형 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중, 출발지 및 목적지 전송 패킷의 합에 대비되는 출발지 및 목적지 전송 바이트의 합을 기초로 계산되는, 동작 방법In paragraph 2,
The signaling is a communication index used to detect a beacon-type session maintaining a session by performing minimal communication, and is based on the sum of source and destination transmission bytes compared to the sum of source and destination transmission packets among the statistical index values. Method of operation, calculated as
상기 방향성은 아웃바운드 데이터량을 기반으로 정보 유출에 사용되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 통계 지표값 중, 출발지 전송 바이트의 합과 목적지 전송 바이트의 합의 차이를 기초로 계산되는, 동작 방법.In paragraph 2,
The directionality is a communication index used to detect a session used for information leakage based on the amount of outbound data, which is calculated based on a difference between a sum of source transmission bytes and a destination transmission byte sum among the statistical index values. Way.
상기 확장성은 시간에 따라 특정 목적지에 연결되는 출발지 수의 증가를 기초로 내부망 감염 확산을 탐지하는데 사용되는 통신 지표로서, 목적지마다 연결된 출발지 IP 주소 수를 기초로 계산되는, 동작 방법.In paragraph 2,
The scalability is a communication index used to detect the spread of an internal network infection based on an increase in the number of sources connected to a specific destination over time, and is calculated based on the number of source IP addresses connected to each destination.
상기 탐지하는 단계는
임의 출발지 및 목적지에 대한 상기 통신 지표들 중 지속성의 값, 접근성의 값, 그리고 신호성의 값을 기준값들과 비교하여, 상기 악성 통신에 관계된 감염된 컴퓨팅 장치 및 공격자 서버를 탐지하는, 동작 방법.In paragraph 1,
The step of detecting
Detecting an infected computing device and an attacker server related to the malicious communication by comparing a persistence value, an accessibility value, and a signaling value among the communication indicators for an arbitrary source and destination with reference values.
상기 탐지하는 단계는
임의 출발지 및 목적지에 대한 상기 통신 지표들 중 은닉성의 값 및 방향성의 값과 기준값들을 비교하여, 데이터 유출 통신에 관계된 감염된 컴퓨팅 장치 및 공격자 서버를 탐지하는, 동작 방법.In paragraph 1,
The step of detecting
An operation method of detecting an infected computing device and an attacker server related to data exfiltration communication by comparing a value of confidentiality and a value of directionality and reference values among the communication indicators for an arbitrary source and destination.
상기 통계 지표값은
타임스탬프 개수, 접속 유지 시간의 합, 출발지 전송 바이트의 합, 목적지 전송 바이트의 합, 출발지 전송 패킷의 합, 목적지 전송 패킷의 합, 그리고 세션 수를 포함하는, 동작 방법.In paragraph 1,
The above statistical index value is
A method of operation, including a number of timestamps, a sum of connection hold times, a sum of source transmitted bytes, a sum of destination transmitted bytes, a sum of source transmitted packets, a sum of destination transmitted packets, and a number of sessions.
출발지와 목적지의 세션 데이터를 수집하는 단계,
상기 세션 데이터를 기초로, 타임스탬프 개수, 접속 유지 시간의 합, 출발지 전송 바이트의 합, 목적지 전송 바이트의 합, 출발지 전송 패킷의 합, 목적지 전송 패킷의 합, 그리고 세션 수를 포함하는 통계 지표값을 계산하는 단계,
상기 통계 지표값을 이용하여, 악성 통신 탐지에 사용되는 통신 지표들을 추출하는 단계, 그리고
상기 통신 지표들을 이용하여, 상기 출발지 및 상기 목적지를 감염된 컴퓨팅 장치 및 공격자 서버로 탐지하는 단계
를 포함하는 동작 방법.As a method of operating a malicious communication detection device,
Collecting session data of origin and destination;
Based on the session data, a statistical index value including the number of timestamps, the sum of connection maintenance times, the sum of source transmitted bytes, the sum of destination transmitted bytes, the sum of source transmitted packets, the sum of destination transmitted packets, and the number of sessions. step of calculating ,
Extracting communication indicators used for detecting malicious communication using the statistical indicator values; and
Detecting the source and the destination as an infected computing device and an attacker server using the communication indicators.
Operation method including.
상기 탐지하는 단계는
상기 통신 지표들 중 지속성의 값, 접근성의 값, 그리고 신호성의 값을 기준값들과 비교하여, 상기 출발지 및 상기 목적지가 악성 통신에 관계된 상기 감염된 컴퓨팅 장치 및 상기 공격자 서버인지 탐지하고,
상기 지속성은 세션이 존재하는 시간 구간 수를 기초로 주기적으로 생성되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 타임스탬프 개수 및 접속 유지 시간을 기초로 계산되고,
상기 접근성은 최소한의 통신을 수행하여 세션을 유지하는 백도어형 세션을 탐지하는데 사용되는 통신 지표로서, 상기 출발지 전송 패킷의 합 및 상기 목적지 전송 패킷의 합에 대비되는 상기 접속 유지 시간의 합을 기초로 계산되며,
상기 신호성은 최소한의 통신을 수행하여 세션을 유지하는 비콘형 세션을 탐지하는데 사용되는 통신 지표로서, 상기 출발지 전송 패킷의 합 및 상기 목적지 전송 패킷의 합에 대비되는 상기 출발지 전송 바이트의 합 및 상기 목적지 전송 바이트의 합을 기초로 계산되는, 동작 방법.In paragraph 12,
The step of detecting
Detect whether the source and the destination are the infected computing device and the attacker server related to malicious communication by comparing values of persistence, accessibility, and signality among the communication indicators with reference values;
The persistence is a communication index used to detect a session that is periodically created based on the number of time intervals in which sessions exist, and is calculated based on the number of timestamps and the connection maintenance time,
The accessibility is a communication index used to detect a backdoor-type session maintaining a session by performing minimal communication, and is based on the sum of the connection maintenance time compared to the sum of the source transport packets and the destination transport packets. is calculated,
The signality is a communication index used to detect a beacon-type session maintaining a session by performing minimal communication, and is the sum of the source transport bytes and the destination compared to the sum of the source transport packets and the destination transport packet. The method of operation, calculated based on the sum of transmitted bytes.
상기 탐지하는 단계는
상기 통신 지표들 중 은닉성의 값 및 방향성의 값과 기준값들을 비교하여, 상기 출발지 및 상기 목적지가 데이터 유출 통신에 관계된 상기 감염된 컴퓨팅 장치 및 상기 공격자 서버인지 탐지하고,
상기 은닉성은 세션 생성 빈도가 낮고 장시간 유지되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 세션 수를 기초로 계산되고,
상기 방향성은 아웃바운드 데이터량을 기반으로 정보 유출에 사용되는 세션을 탐지하는데 사용되는 통신 지표로서, 상기 출발지 전송 바이트의 합과 상기 목적지 전송 바이트의 합의 차이를 기초로 계산되는, 동작 방법.In paragraph 12,
The step of detecting
Detect whether the source and the destination are the infected computing device and the attacker server involved in data exfiltration communication by comparing the value of confidentiality and the value of directionality and reference values among the communication indicators;
The concealment is a communication index used to detect a session that has a low frequency of session creation and is maintained for a long time, and is calculated based on the number of sessions,
The directionality is a communication index used to detect a session used for information leakage based on an outbound data amount, and is calculated based on a difference between the sum of source transmission bytes and the destination transmission byte sum.
시간에 따라 상기 목적지에 연결된 연결되는 출발지 수가 증가하면, 상기 목적지에 의한 내부망 감염 확산을 탐지하는 단계
를 더 포함하는, 동작 방법.
In paragraph 12,
Detecting the spread of an internal network infection by the destination when the number of connected origins connected to the destination increases over time.
Further comprising a method of operation.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210089525 | 2021-07-08 | ||
KR20210089525 | 2021-07-08 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230009306A true KR20230009306A (en) | 2023-01-17 |
Family
ID=85111112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220081831A KR20230009306A (en) | 2021-07-08 | 2022-07-04 | Method and apparatus for detecting malicious communication based session |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20230009306A (en) |
-
2022
- 2022-07-04 KR KR1020220081831A patent/KR20230009306A/en not_active Application Discontinuation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
US10097578B2 (en) | Anti-cyber hacking defense system | |
US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
US8661544B2 (en) | Detecting botnets | |
Prasad et al. | An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic | |
Whyte et al. | DNS-based Detection of Scanning Worms in an Enterprise Network. | |
Chen et al. | Defending against TCP SYN flooding attacks under different types of IP spoofing | |
US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
Hussein et al. | SDN security plane: An architecture for resilient security services | |
KR101219796B1 (en) | Apparatus and Method for protecting DDoS | |
US8918838B1 (en) | Anti-cyber hacking defense system | |
Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
Saad et al. | Rule-based detection technique for ICMPv6 anomalous behaviour | |
Ahmed et al. | A Linux-based IDPS using Snort | |
JP3790486B2 (en) | Packet relay device, packet relay system, and story guidance system | |
Seo et al. | Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling | |
Nayak et al. | Depth analysis on DoS & DDoS attacks | |
KR20230009306A (en) | Method and apparatus for detecting malicious communication based session | |
KR20110027386A (en) | Apparatus, system and method for protecting malicious packets transmitted outside from user terminal | |
KR100983549B1 (en) | System for defending client distribute denial of service and method therefor | |
Chen et al. | An Internet-worm early warning system | |
Pilli et al. | Data reduction by identification and correlation of TCP/IP attack attributes for network forensics | |
KR20140126651A (en) | Apparatus and method for detecting local network attacks | |
Wendzel et al. | Preventing protocol switching covert channels |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal |